← Tous les guides

Arnaques par code QR (quishing) : comment se protéger

30 mai 2026 · 2 min de lecture

Un code QR n'est qu'un lien que vos yeux ne peuvent pas lire. Les fraudeurs exploitent cette faille. Voici comment fonctionne le « quishing » et comment scanner en sécurité.

Qu'est-ce que le « quishing » ?

Le quishing est de l'hameçonnage qui utilise un code QR au lieu d'un lien cliquable. Comme un code QR n'est qu'un motif de carrés, vous ne pouvez pas savoir où il mène avant de le scanner - et à ce moment-là, votre téléphone ouvre peut-être déjà un faux site. Les fraudeurs adorent ça : cela contourne l'habitude de « survoler pour vérifier le lien » qui vous protège dans les courriels.

Où apparaissent les arnaques par code QR

  • Des autocollants posés par-dessus les vrais codes - sur les parcomètres, les bornes de recharge, les menus de restaurant et les affiches.
  • De fausses factures et lettres - un avis de « livraison manquée » ou de « péage impayé » avec un code QR pour « régler » la situation.
  • Des courriels - un code QR dans une pièce jointe ou une image, pour échapper aux analyseurs de liens qui protègent votre boîte de réception.
  • Des offres trop belles - un dépliant promettant un prix ou un rabais si vous « scannez pour réclamer ».

Comment scanner en sécurité

  1. Affichez le lien avant de l'ouvrir. La plupart des appareils photo montrent d'abord l'adresse - lisez-la. Le domaine correspond-il à l'entreprise attendue ?
  2. Méfiez-vous des domaines imitateurs. paypa1.com ou postescanada-livraison.info ne sont pas les vrais sites.
  3. Soyez prudent avec les codes physiques en public. Vérifiez la présence d'un autocollant collé par-dessus un autre code. En cas de doute, tapez l'adresse vous-même.
  4. N'entrez jamais de mot de passe ni de détails de paiement sur une page atteinte en scannant un code inattendu.
  5. Vérifiez d'abord le lien. Si vous n'êtes pas sûr de la destination d'un code, décodez-le et passez l'adresse dans notre vérificateur de code QR avant de lui faire confiance.

Si vous avez déjà scanné et saisi des informations

Traitez cela comme tout hameçonnage : changez le mot de passe saisi (et partout où vous l'avez réutilisé), activez l'authentification à deux facteurs, et si vous avez communiqué des données de carte, appelez votre banque. Un code QR n'est qu'un lien - la même prudence s'applique.

Essayez-le vous-même

Ouvrir le vérificateur de code QR

1 juin 2026

Qu'est-ce que le typosquattage ? Les domaines imitateurs

Un zéro à la place d'un « o », un mot ajouté, une autre terminaison - les domaines imitateurs sont conçus pour vous piéger quand vous allez vite. Voici comment.

Lire le guide

1 juin 2026

Les en-têtes de sécurité HTTP expliqués (HSTS, CSP...)

Invisibles pour les visiteurs mais essentiels à la sécurité : les en-têtes de sécurité demandent à votre navigateur de refuser les connexions non sûres et de bloquer les scripts risqués.

Lire le guide

30 mai 2026

Votre mot de passe figurait dans une fuite : que faire maintenant

Une notification de fuite est troublante, mais la solution est simple. Voici exactement quoi faire - et comment faire en sorte que ça n'ait plus d'importance.

Lire le guide